152 ФЗ

Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

Персональными данными признаются любые сведения о физическом лице, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.

Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона.

Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.

Операторы, осуществляющие обработку персональных данных до вступления в силу закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 года.

Информационные системы персональных данных, созданные до дня вступления в силу закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года.

Закон вступает в силу по истечении ста восьмидесяти дней после официального опубликования.

18
декабря
2017

Соблюдение законодательства о персональных данных в банковской отрасли

Файл добавлен	18.12.2017
Презентация	.pdf (291 Кб)

I. Введение

Тема регулирования и защиты персональных данных с каждым годом становится все актуальнее, сохраняя при этом определенную долю специфики в зависимости от направления деятельности оператора персональных данных. Своеобразие проблем, пробелов в регулировании персональных данных и возникающих в связи с этим споров существует и в банковской отрасли.

Наиболее ярким примером нарушений в банковской отрасли могут служить случаи утечки баз данных, содержащих персональные данные субъектов, а также участившиеся случаи несанкционированной передачи персональных данных со стороны финансовых организаций третьим лицам. В последнем случае типичной иллюстрацией может служить практика передачи кредитной организацией информации о задолженности и должнике коллекторским агентствам. Так, Федеральный закон «О потребительском кредите (займе)» допускает передачу персональных данных заемщика и лиц, выступивших поручителями, третьим лицам при уступке прав (требований) по договору потребительского кредита (займа). Однако несмотря на обязанность соблюдения законодательства о персональных данных, кредитные организации нередко оставляют их без внимания и передают данные заемщика третьим лицам без получения согласия субъекта персональных данных на такую передачу. С появлением законодательства, регулирующего деятельность по возврату просроченной задолженности, требования к коллекторским агентствам стали жестче, однако все еще есть сомнения, что специальный закон сможет в один момент устранить все проблемы с персональными данными.

Стоит отметить, что в области соблюдения законодательства о персональных данных бизнесом положительная статистика все же просматривается. Так, статистика штрафов, назначенных Роскомнадзором по итогам проверок, снизилась с 10,5 млн рублей в 2015 году до 6 млн в 2016 году. Количество выявленных нарушений по сравнению с 2014 и 2015 гг. и выданных Роскомнадзором предписаний также снизилось, что свидетельствует о том, что бизнес-сообщество стало приспосабливаться к более жестким требованиям законодательства о персональных данных. Скорее всего такая тенденция сохранится и в будущем, учитывая поправки в КоАП РФ (ст. 13.11), вступившие в силу 1 июля 2017 г., с принятием которых были внесены существенные изменения в положения, устанавливающие ответственность за нарушение законодательства в области персональных данных.

Тем не менее, несмотря на общую положительную тенденцию, на конец 2016 года наибольшее количество жалоб граждан поступило на действия кредитных учреждений (преимущественно на действия, связанные с передачей персональных данных без их согласия), что в первую очередь, связано с обработкой ими персональных данных значительного числа граждан.

В настоящей статье будет дан практический обзор основных нарушений в области персональных данных, наиболее характерных для банковской сферы, и предложены методы регулирования внутренних процессов обработки персональных данных. В завершении будет представлен ряд рекомендаций практической направленности, как для бизнеса в банковском секторе, так и в отношении субъектов персональных данных.

II. Основные понятия и применимое законодательство

Регулирование отношений, связанных с обработкой персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, осуществляется на базе Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»). Вместе с тем, регулирование персональных данных в российском праве осуществляется с применением ряда других нормативно-правовых актов, включая Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Трудовой кодекс РФ. Не стоит упускать из виду и ведомственные акты, которые, касаются наиболее специфичных вопросов в сфере обработки персональных данных.

Понятие персональных данных является одним из центральных определений, содержащихся в действующем законодательстве. Статья 3 Закона о персональных данных определяет персональные данные в качестве любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Интересно, что в Общем Регламенте Европейского Союза о защите персональных данных персональные данные толкуются как «любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»)», а идентифицируемое лицо толкуется как «лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица». В сравнении с российским европейский законодатель выработал более конкретный подход и указал ряд формальных критериев, необходимых для квалификации информации в качестве персональных данных. Возможность идентификации любого живого лица должна быть основана на конкретной информации. В США персональные данные (англ. personal identifiable information) являются частью права на неприкосновенность частной жизни (англ. privacy).

По аналогичному пути пошел и российский правоприменитель. Так, обзор разъяснений Роскомнадзора и судебной практики позволяет сделать вывод о том, что ключевым аспектом является способность идентифицировать лицо с помощью таких данных. В связи с тем, что Закон о персональных данных не уточняет, что именно на базе таких данных лицо может быть установлено/определено, в судебной практике часто возникают споры о том, что следует относить к персональным данным субъекта.

Например, достаточно часто возникают споры относительно того, можно ли считать IP-адрес персональными данными или нет, ведь IP-адрес позволяет идентифицировать устройство, с которого был осуществлен выход в интернет, но никак не конкретного пользователя. Хотя Суд Европейского союза, например, считает иначе, заявляя о том, что IP-адреса являются охраняемыми персональными данными. Российские суды не так категоричны и прямо не указывают в своих решениях на то, что IP-адрес можно отнести к персональным данным. Однако, совершенно очевидно, что в подавляющем большинстве случаев с помощью IP-адресов можно идентифицировать устройство, с которого выполнялся выход Интернет, и круг пользователей, а также их взаимосвязь, если пользователи выходили в сеть с одного IP-адреса.

Понятие оператора персональных данных также нуждается в пояснении. Оператором признается лицо, которое самостоятельно или совместно с другими лицами организует или осуществляет обработку персональных данных, а также определяет цель обработки, состав подлежащих обработке персональных данных и круг действий, совершаемых с персональными данными. Оператор персональных данных несет ответственность за нарушение прав субъекта персональных данных при их обработке.

Понятие обработки персональных данных включает в себя любое действие/операцию или совокупность действий/операций, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Любая обработка персональных данных должна осуществляться на законной и справедливой основе, в строгом соответствии с целями обработки, имея в виду, что содержание и объем обрабатываемых данных полностью соответствует заявленным целям обработки.

III. Практический обзор основных нарушений в области персональных данных

Следующие нарушения в области Персональных данных в банковском секторе можно выделить в качестве основных:

• Ненадлежащее обеспечение сохранности и конфиденциальности данных

• Избыточная обработка данных или несоответствие обработки заявленным целям

• Ненадлежащее оформление согласия на обработку данных с субъектом

Далее рассмотрим отмеченные составы на примере судебных решений.

Обеспечение сохранности и конфиденциальности данных

Нарушения в области обеспечения сохранности персональных данных, их конфиденциальности и законности передачи данных клиентов банков третьим лицам (преимущественно при уступке прав по договорам кредитования) являются наиболее распространенными в банковском секторе. Так, в типовые договоры кредитования банки зачастую включают безальтернативные условия о согласии субъекта на передачу его данных третьим лицам. Включение в договор условий о согласии на передачу персональных данных одновременно составляют нарушение Закона о персональных данных в части требований к письменной форме согласия и указанию конкретного перечня третьих лиц, в отношении которых клиент дает такое согласие. В частности, суды указывают на необходимость устанавливать в договоре наименование, адрес третьих лиц, которые позволят их идентифицировать, а также определенно предоставлять субъекту право выразить согласие или отказ на передачу его данных.

Так, крупнейший отечественный банк был привлечен к административной ответственности по ч. 1 и 2 ст.14.8 КоАП. Банком заключил с физическим лицом договор о потребительском кредите, который не содержал ярко выраженное альтернативное условие, предоставляющее лицу возможность согласиться на уступку банком прав требования по договору третьим лицам или отказаться от такой уступки. Пункт договора содержал безальтернативное условие об уступке прав требования по договору, а также не содержал конкретного перечня третьих лиц, которым впоследствии будут переуступлены права и переданы персональные данные субъекта. Апелляционный суд также отказал банку в удовлетворении требования об оспаривании привлечения к ответственности, придя к выводу о предоставлении банком третьим лицам необоснованного права на обработку персональных данных клиентов банка без получения их предварительного согласия.

Аналогично предыдущему делу, отечественная страховая организация, входящая в крупнейший российский банковский холдинг, была привлечена к административной ответственности по ч. 2 ст. 14.8 КоАП. Обстоятельство дела заключалось в том, что в страховом полисе содержался безальтернативный пункт о согласии потребителя на уступку прав по договору третьим лицам и на соответствующую обработку его данных третьими лицами. У лица отсутствовал выбор при предоставлении согласия, а также были нарушены требования Закона о персональных данных об определении в согласии конкретного перечня лиц. Так, суд сделал вывод о том, что факт подписания клиентом страховой организации договора не является надлежащим доказательством предоставления гражданину возможности на выражение согласие или отказа от предоставления сведений о клиенте третьим лицам, поскольку условия договора были разработаны таким образом, что у лица отсутствовала свобода выбора.

Аналогичные выводы судов содержатся во многих решениях, включая Решение Арбитражного суда Самарской области от 23.08.2017 по делу № А55-6296/2017, Решении Арбитражного суда города Москвы от 13.09.2017 по делу № А40-102354/2017, Решении Арбитражного суда города Москвы от 23.10.2017 по делу № А40-13362/2017.

Избыточная обработка и ее несоответствие заявленным целям

В области избыточной обработки персональных данных и обработки данных в нарушение целей, которые указаны в согласии субъекта, банковские организации зачастую допускают нарушения в виде возложении на субъекта обязанности уведомлять об отдельных событиях и изменениях во время исполнения договора кредитования. Так, банки стремятся быть в курсе любой информации, которая может негативно повлиять на способность заемщика исполнить обязательства по кредитному договору. В частности, банки требуют сообщать информацию об изменении состава семьи, возбуждении уголовного дела, изменении места работы, адреса проживания и иную информацию. Суды приходят к выводу, что включение в договоры кредитования обязанности субъекта данных по информированию банков о различных аспектах своей жизни нарушает действующее законодательство, так как сбор таких данных является избыточным и не влияет на существо кредитных отношений. До заключения договора банк имеет законную возможность запросить всю необходимую информацию и в отдельных случаях отказаться от кредитования.

Так, отечественный банк был привлечен к административной ответственности по ч. 2 ст.14.8 КоАП. В одном из пунктов кредитного договора было прописано, что заемщик обязан уведомить кредитора о заключении (изменении) брачного договора, об изменении состава семьи, работы или места жительства, о смене фамилии и об иных данных, позволяющих идентифицировать субъекта. Суд пришел к выводу, что соответствующий пункт кредитного договора ущемлял права потребителя установлением обязанности по предоставлению в банк персональной информации, обязательность предоставления которой не установлена законодательством РФ и не влияет на исполнение целей кредитного договора.

Похожие выводы также содержатся в Постановлении Седьмого арбитражного апелляционного суда от 25.08.2017 по делу № А27-4649/2017. Так, суд подтвердил правомочность привлечения крупного банка к административной ответственности, проверка типовых договоров которого выявила необоснованное включение положений о праве кредитора запросить у заемщика всю необходимую информацию о заемщике. Позиция суда заключалась в том, что действующее законодательство не предусматривает обязанности заемщика- гражданина после получения займа уведомлять кредитора о возникновении, изменении любых обстоятельств, способных повлиять на выполнение Заемщиком обязательств по договору, поскольку это не может являться основанием для выдвижения кредитором требований о досрочном исполнении договора, в связи с чем, условия Договоров, предусматривающие соответствующие положения об уведомлении Кредитора об изменении адреса регистрации (прописки), места работы, паспортных данных (замене паспорта) ущемляют права потребителя.

Аналогичные выводы содержатся и в иных судебных решениях (см., например, Решение Арбитражного суда Самарской области от 14.07.2017 по делу № А55-5923/2017).

Наличие ненадлежащим образом оформленных согласий

Оформление согласий субъектов персональных данных на обработку и передачу данных третьим лицам неоднократно сопряжено с нарушениями законодательства. Это не обошло стороной и хозяйствующих субъектов в банковской и страховой сферах, оформление согласий которыми зачастую сопровождают другие нарушения законодательства в области персональных данных.

Так, видами нарушений финансовыми организациями в данной области являются следующие правонарушения:

• Включение в договор безальтернативных условий о согласии, вследствие чего оно не отвечает признаку сознательности;

• Отсутствие пояснение в адрес субъекта персональных данных специальных терминов, содержащихся в согласии, вследствие чего оно не отвечает признаку информированности;

• Отсутствие уведомления субъекта данных о его праве на отзыв предоставленного согласия;

• Неполучение согласия на обработку данных третьих лиц (родственников заемщика или совместно с ним проживающих лиц), и обработка их данных не в соответствии с целью предоставления кредита.

Довольно частым механизмом нарушения является получение согласия субъекта в форме подписания договора кредитования с условием о согласии, вследствие чего согласие не получено свободно, волей и в интересе субъекта. В согласии указываются общие формулировки, которые позволяют оператору обрабатывать избыточные данные заемщиков, передавать данные заемщиков неопределенному кругу третьих лиц, а также обрабатывать персональные данные родственников заемщика, которые не требуются для целей предоставления кредита. Так, в одном договоре кредитования может содержаться множество нарушений процедур сбора, обработки, хранения и передачи персональной информации.

Показательным является итог судебного дела в отношении крупного банка, согласно которому банк был привлечен к административной ответственности по ч. 2 ст. 14.8 КоАП на основании жалобы клиента банка в Роскомнадзор. Так, заключенный договор содержал пункт о даче согласия потребителем на предоставление банковской организации врачебной информации о состоянии страхователя или застрахованного лица. Между тем, включение такого пункта в анкету-заявление, являющуюся неотъемлемой частью договора кредитования, нарушает требования к форме письменного согласия субъекта ПД, а также нарушает режим врачебной тайны. Суд в своем решении указал, что условие договора о необходимости разглашения сведений, составляющих врачебную тайну, ущемляет права потребителя посредством установления возможности страховщикам от любого врача, больницы, поликлиники или любой другой организации или любого лица, владеющего любой информацией о страхователе/застрахованном получать эту информацию, включая копии либо подлинники документов с указанием заболеваний или несчастных случаев, лечения, произведенных обследований и их результатов, консультаций или госпитализаций.

Страховая организация безуспешно пыталась обжаловать предписание Роскомнадзора и в итоге также была привлечена к административной ответственности. В данном споре были выявлены нарушения как в части несоблюдения формы письменного согласия, так и в части избыточной обработки, обработки данных третьих лиц и несоблюдения конфиденциальности персональных данных. Так, судом не был воспринят довод страховой организации о том, что страхователем было предоставлено письменное согласие страховщику на обработку его персональных данных, ссылаясь на подписанный страхователем договор страхования, предусматривающий право застрахованного в любое время отозвать указанное согласие, суд первой инстанции не принял. Подписывая заранее разработанный текст договора страхования, напечатанный очень мелким шрифтом и содержащий такие специфические, используемые в целях Закона о персональных данных и не используемые в обиходе понятия и термины, как «обработка персональных данных», страхователь вряд ли был достаточно информирован об истинном смысле этих понятий и терминов, а также о возможных последствиях своего согласия на обработку своих персональных данных. Содержащееся в договоре страхования согласие на обработку персональных данных не является надлежащим, поскольку оно не отвечает требованиям о письменном согласии, изложенным Законе о персональных данных в части того, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным и предполагает, как минимум, письменное разъяснение субъекту персональных данных значения понятия «обработка персональных данных». Однако ни договор страхования, ни какой-либо другой документ не содержали каких-либо сведений о разъяснении страхователю, как субъекту персональных данных, указанного понятия. Суд также отметил, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку не просто путем подписания договора с условием о согласии, но выражает его свободно, своей волей и в своем интересе отдельно.

Более того, суд также обратил внимание что страховая организация, будучи оператором персональных данных, получил право обрабатывать предоставленные ему персональные данные в полном объеме, включая такие действия в отношении персональных данных, как распространение и трансграничную передачу персональных данных, подразумевающих соответственно действия, направленные на раскрытие персональных данных неопределенному кругу лиц и передачу персональных данных на территорию иностранного государства, при этом никак не обусловливая и не объясняя такой необходимости с точки зрения целей обработки. По мнению суда, указанное обстоятельство свидетельствуют об избыточности действий по обработке персональных данных.

Дополнительной иллюстрацией нарушений, сопряженных с получением согласия на обработку данных субъекта, являются выводы, заложенные в Решении Арбитражного суда Уральского округа от 22.12.2016 по делу № А76-5164/2016. По результатам проверки банка социального развития был выявлен ряд нарушений, а именно обработка персональных данных в случаях, не предусмотренных законодательством — обработка персональных данных в отношении членов семьи, проживающих совместно с клиентом; персональных данных совершеннолетних детей, проживающих отдельно от клиента; персональных данных родителей клиента, изложенных в заявлении-анкете на предоставление кредита. Суд в своем решении указал, что включение в заявление-анкету на предоставление кредита сведений о персональных данных лиц, с которыми договор не заключается и которые не давали согласие на передачу и обработку своих персональных данных, исключительно по мотиву расчета норматива банка, является прямым нарушением Закона о персональных данных. Суд также отметил, что обязательность указания персональных данных упомянутых лиц не зависит от того, имеются ли у них кредитные обязательства, которые могут повлиять на расчет указанного банком норматива.

IV. Регулирование внутренних процессов обработки персональных данных

При осуществлении проверок первоочередное внимание контролирующие органы уделяют внутренним документам финансовых организаций, регулирующих процессы обработки персональных данных в компании.

Перечня обязательных к оформлению актов, регулирующих процессы обработки данных в компании действующее законодательство не содержит. Таким образом, организации зачастую натыкаются на так называемую серую зону, задаваясь вопросом какие локальные акты обязательны к оформлению, а оформление каких является опциональным.

Как правило, деятельность компании в части защиты персональных данных регламентируют два базовых документа: Политика обработки персональных данных и Положение о защите, хранении, обработке и передаче персональных данных работников. К внутренней документации банковских организаций также следует отнести третий документ — Положение о защите, хранении, обработке и передаче персональных данных потребителей.

При составлении Политики обработки персональных данных (наличие которой в силу ст. 18.1 Закона о персональных данных является обязательным) финансовые организации могут смело руководствоваться Рекомендациями Роскомнадзора, опубликованными в открытом доступе на официальном сайте ведомства.

Так, согласно рекомендациям Роскомнадзора, в Политику финансовой организации в отношении обработки персональных данных рекомендуется включить следующие разделы:

• Общие положения;

• Цели сбора обработки;

• Правовые основания обработки;

• Объем и категории обрабатываемых данных;

• Порядок и условия обработки данных;

• Порядок реагирования на запросы субъектов в отношении обработки их данных;

• Порядок модификации, удаления и блокировки данных.

Финансовым организациям также настоятельно рекомендуется оформить отдельный регламент обработки персональных данных заемщиков и страхователей, в которых можно отразить все основные спорные вопросы, руководствуясь актуальной судебной практикой.

Также финансовым организациям следует уделить особое внимание следующим внутренним документам:

• Должностная инструкция ответственного за обработку персональных данных в компании;

• Перечень информационных систем, обрабатывающих персональные данные в организации;

• Матрица доступа в помещения, в которых расположены серверные мощности, обрабатывающие персональные данные (матрицы доступа, как правило, содержат перечень лиц, имеющих такой доступ);

• Матрицы доступа в информационные системы, обрабатывающие персональные данные (матрицы доступа, как правило, содержат перечень лиц, имеющих такой доступ);

• Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Модель угроз видится наиболее сложным для оформления локальным актом. Обязательность ее наличия обусловлена нормой пункта 5 ч. 1 ст. 18.1 Закона о персональных данных. Для облегчения задачи финансовым организациям рекомендуется при оформлении такого документа руководствоваться Стандартом Банка России № СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».

Организациям также не стоит забывать о необходимости наличия подписанных генеральным директором или другими уполномоченными лицами в соответствии с уставом компании, подписанных приказов о назначении ответственных за обработку персональных данных в компании.

V. Рекомендации

Исходя из анализа судебной практики и массива нарушений в области персональных данных, характерных для банковской отрасли следует выделить следующие рекомендации:

1) в первую очередь финансовой организации следует провести аудит существующих в компании процессов сбора и обработки персональных данных и выявить потенциальные риски. Проведение аудита поможет четко определить следующие вводные:

• круг и категории персональных данных, обрабатываемых компанией;

• круг и категории субъектов, чьи данные обрабатываются компанией;

• круг локальных актов, регулирующих процессы сбора и обработки персональных данных;

• механизмы защиты и технические меры безопасности, обеспечивающие конфиденциальность данных и защищающих компанию от возможной утечки.

2) следующим шагом может являться модификация и/или внедрение внутренней документации, регулирующих процессы сбора и обработки данных;

3) пересмотре типовых кредитных и страховых договоров в целях исключения пунктов об обработке данных из их содержания;

4) составление типовых согласий на обработку данных, полностью соответствующих нормам действующего законодательства;

5) обеспечить сбор данных соответствующих целям такого сбора, исключив в перспективе избыточную обработку данных потребителей;

6) обеспечить наличие письменных договоров с третьими лицами и партнерами, которым финансовые организации передают персональные данные;

7) дополнительной рекомендацией также будет являться составление политики компании по взаимодействию с профильными государственными органами, включая Роскомнадзор.

См.: Федеральный закон от 21.12.2013 N 353-ФЗ «О потребительском кредите (займе)»

См.: Федеральный закон от 03.07.2016 N 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях»

Кодекс об Административных Правонарушениях РФ (далее – КоАП)

См., например, Указ Президента Российской Федерации от 6 марта 1997 года N 188 «Об утверждении перечня сведений конфиденциального характера»; Приказ ФСБ России и ФСТЭК России от 31.08.2010 № 416/489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»; Приказ Роскомнадзора от 15.03.2013 № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»; и др.

Регламент (ЕС) № 2016/679 Европейского Парламента и Совета ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене директивы 95/46/ЕС (Общий регламент о защите персональных данных)»

Под IP-адресом (сокр. от англ. Internet Protocol Address) следует понимать сетевой адрес — уникальный идентификатор (адрес) устройства, подключенного к сети Интернет. См. подробнее судебную практику, где суды не призвали IP-адрес персональными данными: Постановление Тринадцатого арбитражного апелляционного суда от 05.07.2017 N 13АП-5614/2017, 13АП-5604/2017 по делу N А56-12177/2016.

См.: Постановление Третьего арбитражного апелляционного суда от 08.09.2017 по делу N А74-13090/2016; Постановление Восьмого арбитражного апелляционного суда от 05.09.2017 N 08АП-7948/2017 по делу N А75-16756/2016.

Постановление Одиннадцатого арбитражного апелляционного суда от 27.11.2017 по делу № А65-16479/2017

Решение Арбитражного суда города Москвы от 23.11.2017 по делу № А40-174258/2017

Постановление Девятого арбитражного апелляционного суда от 09.10.2017 по делу № А40-26187/2017

Постановление Одиннадцатого арбитражного апелляционного суда от 08.09.2017 по делу № А-72-2343/2017

Постановление Одиннадцатого арбитражного апелляционного суда от 17.07.2017 по делу № А65-4208/2017

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

УТВЕРЖДЕНА приказом

Общества с ограниченной ответственностью «БЮРО»

от «29» июня 2017 года №5.

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Назначение и область действия

1.1. Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ООО «БЮРО» (далее – Оператор, Общество). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. С момента ее утверждения Политика действует бессрочно до момента внесения в нее изменений.

1.3. Термины и понятия, используемые в Политике, применяются в соответствии с их значениями, определенными в Федеральном законе № 152-ФЗ от 27.07.2006 «О персональных данных» (далее – Федеральный закон «О персональных данных»).

1.4. Политика распространяется на все действия Оператора, связанные с обработкой персональных данных.

1.5. Оператор не контролирует иные сайты, доступ на которые может быть получен с сайта Оператора.

2. Сведения об обработке персональных данных

2.1. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без.

2.2. Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:

— Конституция Российской Федерации;

— Трудовой кодекс Российской Федерации;

— Гражданский кодекс Российской Федерации;

— Налоговый кодекс Российской Федерации;

— Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;

— Федеральный закон от 10.01.2002г. № 1-ФЗ «Об электронной цифровой подписи»;

— Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;

— Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

— Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;

— Устав ООО «БЮРО»;

— а также иные акты, действие которых распространяется на деятельность Оператора.

2.4. Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки.

2.5. Основные цели обработки персональных данных:

— ведение трудовых отношений с физическими лицами;

— исполнение гражданско-правовых обязательств Оператора (в том числе информирование об услугах Оператора);

— соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации.

2.5. К основным категориям субъектов персональных данных, чьи данные обрабатываются Оператором, относятся:

— физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором;

— физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами Оператора;

— физические лица, которым Оператор оказывает услуги в рамках своей уставной деятельности, кандидаты на замещение вакантных должностей.

2.6. Для указанных категорий субъектов могут обрабатываться:

фамилия, имя, отчество; дата рождения; место рождения, адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки.

2.7. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

2.8. Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность.

2.9. Обработка и хранение персональных данных осуществляются не более срока, необходимого для реализации цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

— достижение целей обработки персональных данных или максимальных сроков хранения;

— утрата необходимости в достижении целей обработки персональных данных;

— предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

— невозможность обеспечения правомерности обработки персональных данных;

— отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;

— отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг.

2.10. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности: цели, условия, сроки обработки персональных данных; обязательства сторон, в том числе меры по обеспечению конфиденциальности; права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

2.11. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.

3. Меры по обеспечению безопасности персональных данных

3.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

4. Права субъектов персональных данных

4.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.

4.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Оператором; правовые основания и цели обработки персональных данных; цели и применяемые Оператором способы обработки персональных данных; наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

4.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.

4.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Роли и ответственность

5.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

5.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.

5.3. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

5.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

5.5. Иные права и обязанности Оператора определяются законодательством Российской Федерации в области персональных данных.

5.6. Политика разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора. Предложения и замечания для внесения изменений в Политику следует направлять по адресу info@buroburo.ru . Политика актуализируется по мере необходимости. Постоянный URL-адрес размещения Политики – www.buroburo.ru/policy